RifleMan Posted April 1, 2007 Posted April 1, 2007 В ядре сети стоят несколько C3560-24G. С некоторой периодичностью стали наблюдаться потери пакетов. При разборе полётов выяснилось, в данные промежутки времени сыпятся большое количество UDP пакетов. Выставление storm-conrol unicast на портах не помагает (corrent не превышает 0,9%). Очень хочется знать причину провисания каталистов? хотя кол-во пакетов и высоко, но оно не превышает заявленных циской 38.700 p/s (реально около 15.000 p/s). И как с этим можно бороться ? Вставить ник Quote
Nailer Posted April 1, 2007 Posted April 1, 2007 В ядре сети стоят несколько C3560-24G. С некоторой периодичностью стали наблюдаться потери пакетов. При разборе полётов выяснилось, в данные промежутки времени сыпятся большое количество UDP пакетов. Выставление storm-conrol unicast на портах не помагает (corrent не превышает 0,9%). Очень хочется знать причину провисания каталистов? хотя кол-во пакетов и высоко, но оно не превышает заявленных циской 38.700 p/s (реально около 15.000 p/s). И как с этим можно бороться ? Какие именно udp валяться? Идут ли они на адреса цисок или через нее? По каким портам идет флуд? В ядре сети стоят несколько C3560-24G. С некоторой периодичностью стали наблюдаться потери пакетов. При разборе полётов выяснилось, в данные промежутки времени сыпятся большое количество UDP пакетов. Выставление storm-conrol unicast на портах не помагает (corrent не превышает 0,9%). Очень хочется знать причину провисания каталистов? хотя кол-во пакетов и высоко, но оно не превышает заявленных циской 38.700 p/s (реально около 15.000 p/s). И как с этим можно бороться ? Зы. Производительность каталиста - не 38 тысяч пакетов, а 38 миллионов пакетов. У вас валиться 15.000 пакетов/сек или 15 миллионов пакетов/сек? Вставить ник Quote
RifleMan Posted April 1, 2007 Author Posted April 1, 2007 Какие именно udp валяться? Идут ли они на адреса цисок или через нее? По каким портам идет флуд?идут на адреса компьютеров. трафик флудом назвать нельзя. т.к. он должен приниматься :( интересует почему каталисты не справляются и как их заставить справляться.... Зы. Производительность каталиста - не 38 тысяч пакетов, а 38 миллионов пакетов. У вас валиться 15.000 пакетов/сек или 15 миллионов пакетов/сек?вспылил, был не прав. конечно же сыпятся 15.000... Вставить ник Quote
Nailer Posted April 1, 2007 Posted April 1, 2007 Какие именно udp валяться? Идут ли они на адреса цисок или через нее? По каким портам идет флуд?идут на адреса компьютеров. трафик флудом назвать нельзя. т.к. он должен приниматься :( интересует почему каталисты не справляются и как их заставить справляться.... Зы. Производительность каталиста - не 38 тысяч пакетов, а 38 миллионов пакетов. У вас валиться 15.000 пакетов/сек или 15 миллионов пакетов/сек?вспылил, был не прав. конечно же сыпятся 15.000... Так по каким именно портам идет траффик udp? 15 килопакетов каталист должен прожевывать без напрягов, если только траффик не попадает по каким-либо причинам на программную обработку через CPU. Вставить ник Quote
RifleMan Posted April 1, 2007 Author Posted April 1, 2007 44555 - порт не стандартный. пробовал эксперементировать - с нетфлоу такие же грабли судя по всему... Вставить ник Quote
Nailer Posted April 1, 2007 Posted April 1, 2007 44555 - порт не стандартный.пробовал эксперементировать - с нетфлоу такие же грабли судя по всему... Так-так-так.. Какой еще нетфлоу на 3560? sh run и sh ip cef покажите.. Вставить ник Quote
RifleMan Posted April 1, 2007 Author Posted April 1, 2007 про нетфлоу Вы не так поняли, он формировался на роутере и пропускался через коммутаторы на коллектор. а вот с Ip cef интересней: на некоторых говорит %IPv4 CEF not running а на некоторых строит таблицу с attached и recieved. Может в эту сторону копать ??? может эти коммутаторы и обрабатывают cpu эти пакеты ??? как его отключить можно ? no ip cef как на роутерах не прокатывает :( Вставить ник Quote
ingress Posted April 1, 2007 Posted April 1, 2007 а где вы видите потерю? при трассе? мы здесь с Nailer уже это обсуждали, у 3560 есть ограничение на генерирование icmp ttl exceed, и кажется как будто она теряет пакеты, а на самом деле просто лимит превышен, и пакеты она больше не генерит. Вставить ник Quote
Nailer Posted April 1, 2007 Posted April 1, 2007 про нетфлоу Вы не так поняли, он формировался на роутере и пропускался через коммутаторы на коллектор. а вот с Ip cef интересней: на некоторых говорит %IPv4 CEF not running а на некоторых строит таблицу с attached и recieved. Может в эту сторону копать ??? может эти коммутаторы и обрабатывают cpu эти пакеты ??? как его отключить можно ? no ip cef как на роутерах не прокатывает :( Для нормальной работы CEF может быть отключен только при выключенном роутинге (нет команды ip routing). Иначе как раз-таки пакеты пойдут на проц. Проверьте, что говорит sh ip route. Если в таблице маршрутизации есть маршруты, а cef - выключен, то это уже криминал. Раньше вроде как можно было выключить cef при сохранении функций маршрутизации, некоторые даже выключали его, чтобы получить нетфлоу с каталиста. Правда, при этом получался дохленький дорогущий роутер с 24 портами на борту :-) Есть еще хорошая команда sh int switching - там видно, по какому пути коммутируются пакеты. Кстати, ingress правильно спросил - как вы диагностируете потерю пакетов? уж не pathping -ом ли? Вставить ник Quote
ingress Posted April 1, 2007 Posted April 1, 2007 я так понял куча флуда идёт к неизвестным адресам, циска не знает куда послать и отправляет icmp unreach а т.к. у неё есть лимит на генерирование icmp она больше определённого кол-ва не генерит и вам кажется что она теряет пакеты. Вставить ник Quote
RifleMan Posted April 1, 2007 Author Posted April 1, 2007 я так понял куча флуда идёт к неизвестным адресам, циска не знает куда послать и отправляет icmp unreach нет. "флуд" идёт на существующие IP адреса. они есть в cef таблице коммутатора к которому и подключены сервера (что меня и настораживает). Завтра пробую отключить ip routing во всей цепочки свитчей, паралельно включаю мониторинг проца коммутаторов. мониторю резулитаты. пропадания в пингах идёт не от коммутаторов, а от серверов и маршрутизаторов, так что я думаю лимиты на icmp тут не причём... Вставить ник Quote
Nailer Posted April 1, 2007 Posted April 1, 2007 я так понял куча флуда идёт к неизвестным адресам, циска не знает куда послать и отправляет icmp unreachнет. "флуд" идёт на существующие IP адреса. они есть в cef таблице коммутатора к которому и подключены сервера (что меня и настораживает). Завтра пробую отключить ip routing во всей цепочки свитчей, паралельно включаю мониторинг проца коммутаторов. мониторю резулитаты. пропадания в пингах идёт не от коммутаторов, а от серверов и маршрутизаторов, так что я думаю лимиты на icmp тут не причём... Эээ.. как это - отключить роутинг на всей цепочке? А топология сети куда денется? Для начала выложите сюда sh int switching с каталистов, посмотрим.. Вставить ник Quote
RifleMan Posted April 2, 2007 Author Posted April 2, 2007 Эээ.. как это - отключить роутинг на всей цепочке? А топология сети куда денется? Для начала выложите сюда sh int switching с каталистов, посмотрим.. мне достаточно чтобы они работали просто как L2 коммутаторы пока. ip routing выключен. sh proc cpu показывает норму. история та же самая. sh int sw: Name: Gi0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none Name: Gi0/2 Switchport: Enabled Administrative Mode: trunk Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none Name: Gi0/3 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 19 Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none Name: Gi0/4 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 151 Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none ...... Вставить ник Quote
Nailer Posted April 2, 2007 Posted April 2, 2007 Я просил sh int switching, а не sh int switchport :-) Вставить ник Quote
RifleMan Posted April 2, 2007 Author Posted April 2, 2007 ------ cut ------- #sh int switching Vlan1 Throttle count 0 Drops RP 0 SP 0 SPD Flushes Fast 0 SSE 0 SPD Aggress Fast 0 SPD Priority Inputs 0 Drops 0 Protocol Path Pkts In Chars In Pkts Out Chars Out IP Process 8886906 1042920495 1711 157199 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 ARP Process 9814191 588923412 131112 7866720 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 Vlan10 Throttle count 0 Drops RP 0 SP 0 SPD Flushes Fast 0 SSE 0 SPD Aggress Fast 0 SPD Priority Inputs 0 Drops 0 Protocol Path Pkts In Chars In Pkts Out Chars Out IP Process 469746 41283328 102557 8160436 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 ARP Process 114927 6895620 1013 60780 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 GigabitEthernet0/1 Throttle count 0 Drops RP 0 SP 0 SPD Flushes Fast 0 SSE 0 SPD Aggress Fast 0 SPD Priority Inputs 0 Drops 0 Protocol Path Pkts In Chars In Pkts Out Chars Out Other Process 0 0 247156 14829360 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 Spanning Tree Process 929014 59441520 97127956 1917518896 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 CDP Process 30909 11807238 30906 12115152 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 VTP Process 0 0 6094 608040 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 DTP Process 61806 3708360 0 0 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 GigabitEthernet0/2 Throttle count 0 Drops RP 0 SP 0 SPD Flushes Fast 0 SSE 0 SPD Aggress Fast 0 SPD Priority Inputs 0 Drops 0 Protocol Path Pkts In Chars In Pkts Out Chars Out Other Process 0 0 29636 1778160 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 Spanning Tree Process 5 600 11756628 751980360 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 CDP Process 3709 1583743 3705 1452360 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 VTP Process 0 0 728 72072 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 DTP Process 7414 444840 0 0 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 GigabitEthernet0/3 Throttle count 0 Drops RP 0 SP 0 SPD Flushes Fast 0 SSE 0 SPD Aggress Fast 0 SPD Priority Inputs 0 Drops 0 Protocol Path Pkts In Chars In Pkts Out Chars Out Other Process 0 0 185352 11121120 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 Spanning Tree Process 0 0 924946 55496760 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 CDP Process 30910 11776695 30906 12115152 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 GigabitEthernet0/4 Throttle count 0 Drops RP 0 SP 0 SPD Flushes Fast 0 SSE 0 SPD Aggress Fast 0 SPD Priority Inputs 0 Drops 0 Protocol Path Pkts In Chars In Pkts Out Chars Out Other Process 0 0 185352 11121120 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 Spanning Tree Process 0 0 924947 55496820 Cache misses 0 Fast 0 0 0 0 Auton/SSE 0 0 0 0 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.